La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

SEGURIDAD EN REDES _________________________________________________

Publicada porJimena Deliz Modificado hace 10 años

Presentaciones similares

Presentación del tema: "SEGURIDAD EN REDES _________________________________________________"— Transcripción de la presentación:

1 SEGURIDAD EN REDES _________________________________________________
FIREWALLS Ing. José I. Gallardo Univ.Nac.Patagonia "S.J.Bosco"

2 1. Principios diseño de firewalls 1.1. Características de firewalls
SEGURIDAD- FIREWALLS TEMAS 1. Principios diseño de firewalls 1.1. Características de firewalls 1.2. Tipos de firewalls 1.3. Configuraciones de firewalls Sistemas Confiables (trusted) 2.1. Control de acceso a datos 2.2. El concepto de sistemas confiables 2.3. Defensa de troyanos. JIG ©

3 Introducción a Firewalls (Muros Cortafuegos) ________________________________________________
FIREWALL: Es un sistema ó grupo de sistemas que refuerza la política de control de acceso entre dos redes. En principio provee dos servicios básicos: Bloquea tráfico indeseado Permite tráfico deseable Los Sistemas de Información tuvieron una sostenida evolución de pequeñas LANs a la conectividad de Internet, pero no se establecieron medidas acordes de seguridad para todas la WS y servidores. Presiones operativas:1ºConectividad y 2º Seguridad. Dentro de las Estrategias de Seguridad de una organización, un Firewall pertenece al grupo de Proactivas, para minimizar vulnerabilidades. ( Fig.1) JIG ©

4 Fig.1: Estrategia de Seguridad (Benson) [Ref.2]
Introducción a Firewalls ________________________________________________ Fig.1: Estrategia de Seguridad (Benson) [Ref.2]  Firewalls JIG ©

5 1. Principios de Diseño de Firewalls ________________________________________________
Los Firewalls están insertados entre la red local y la Internet (red no confiable)  Objetivos: Establecer un enlace controlado Proteger la red local de ataques basados en la Internet Proveer un punto de único punto de choque. Router+ Firewall JIG ©

6 1.1. Características de Firewalls ________________________________________________
Objetivos de Diseño: Todo el tráfico interno hacia el exterior debe pasar a través del FW. Sólo el tráfico autorizado (definido por política de seguridad local) será permitido pasar, a través de filtros y gateways. El FW en sí mismo es inmune a penetraciones (usando sistema confiable con sistema operativo seguro). 4 Técnicas generales para Control Accesos: Control de Servicios: determina tipo servicios de Internet que pueden ser accedidos. Control de Dirección: determina la dirección en que se permiten fluir requerimientos de servicios particulares. Control de Usuarios: controla acceso a servicio acorde a permisos de usuarios Control de Comportamiento: controla cómo se usan servicios particulares (Ejplo: filtros de ). JIG ©

7 1.2. Tipos de Firewalls ________________________________________________
Tres tipos comunes de Firewalls: Router con Filtrado de Paquetes Gateway a Nivel de Aplicación Gateway a Nivel de Circuitos (Host Bastión Host) (Perímetro Seguridad) (Router con Filtrado Paquetes) JIG ©

8 1.2.1. Router con Filtrado Paquetes ________________________________________________
Aplica un set de reglas para cada paquete entrante y luego lo reenvía ó descarta. Filtra paquetes en ambas direcciones. El filtrado de paquetes se setea típicamente como una lista de reglas (ACL: Access Control List) basadas en “matches” de campos de cabeceras IP ó TCP. Dos políticas por default: discard/deny ó forward/allow Mejor habilitar explícitamente (default= deny) Se implementa con notación específica de cada router. Ventajas: Simplicidad Transparencia hacia usuarios Alta velocidad Desventajas: Dificultad en el seteo de reglas de filtrado Falta de Autenticación JIG ©

9 1.2.1. Router con Filtrado Paquetes ________________________________________________
Posibles ataques y Contramedidas apropiadas: IP Address Spoofing (mentir dirección IP)  Descartar paquetes con dir IP interna que arribe del exterior. Ataques Source Routing (paquete con opción ruteo fuente)  Descartar todos los paquetes que usen esta opción. Ataques por Tiny Fragments (fragmentos muy pequeños)  Descartar todos paquetes donde tipo protocolo sea TCP y Offset de Fragmento=1 en Header_IP. JIG ©

10 1.2.2. Sistema de FW con GW a Nivel Aplicación ____________________________________________________
Gateway a Nivel Aplicación (ó Proxy Server) Son hosts corriendo Proxy servers, que evitan tráfico directo entre redes. Actúa como un relay (conmutador) de tráfico a nivel de aplicación. Más eficiente y posible control de contenidos. Puede ponerse un AV en el gateway. (GW Nivel Aplicación) (Conexión Externa) (Conexión Interna) (Host Interno) (Host Externo) El grupo de trabajo MPEG es el encargado dentro de ISO de especificar y aprobar los estándares de audio y vídeo comprimido. MPEG-1 estaba dirigido fundamentalmente a permitir la reproducción de vídeo digital en un lector de CD-ROM de simple velocidad (1,4 Mb/s) con calidad de imagen comparable a la de un magnetoscopio VHS doméstico y de sonido comparable a un CD de audio. En estas condiciones un CD-ROM puede almacenar aproximadamente una hora de vídeo. MPEG-2 pretende ofrecer una calidad broadcast, comparable a CCIR-601, pero con un caudal mucho menor, del orden de 4-6 Mb/s, para ser utilizado como soporte de la televisión digital. MPEG-3 pretendía cubrir la calidad de televisión de alta definición con caudales de Mb/s. Sin embargo se vió que con una modificación adecuada de los parámetros de MPEG-2 le permitía cumplir este requisito, por lo que el grupo de trabajo MPEG-3 se disolvió sin aprobar nunca un su estándar. MPEG-4 extiende la posibilidad de vídeo digital por abajo, a velocidades de hasta 64 Kb/s. Además desarrolla el concepto de objetos audiovisuales tanto naturales como sintéticos empleando como punto de partida para ello el trabajo desarrollado en VRML (Virtual Reality Markup Language) Los grupos de trabajo MPEG-5 y MPEG-6 no se crearon, con el único fin de mantener la irregularidad en la numeración de los estándares MPEG MPEG-7 permitirá la descripción de contenidos audiovisuales para facilitar su indexación, búsqueda, catalogación, etc. JIG ©

11 1.2.2. Sistema de FW con GW a Nivel Aplicación ____________________________________________________
Proxy de Aplicación: programa que representa a toda la red interna, ocultando la LAN de la red pública. Toma decisiones de forwarding en los 2 sentidos. Hará el forward de clientes autorizados a servers del exterior y traerá las respuestas a dichos clientes. Proxy HTTP puede mantener páginas web en caché. Ventajas: Más seguros que filtros de paquetes. Sólo necesita discriminar una pocas aplicaciones permitidas (Telnet, HTTP, etc), no a nivel de IP ó TCP. Fácil control de log y auditar todo el tráfico entrante Desventajas: Overhead de procesamiento adicional en cada conexión, ya que hay dos conexiones divididas y el Gateway que actúa como splice, debe examinar y reenviar todo el tráfico. El grupo de trabajo MPEG es el encargado dentro de ISO de especificar y aprobar los estándares de audio y vídeo comprimido. MPEG-1 estaba dirigido fundamentalmente a permitir la reproducción de vídeo digital en un lector de CD-ROM de simple velocidad (1,4 Mb/s) con calidad de imagen comparable a la de un magnetoscopio VHS doméstico y de sonido comparable a un CD de audio. En estas condiciones un CD-ROM puede almacenar aproximadamente una hora de vídeo. MPEG-2 pretende ofrecer una calidad broadcast, comparable a CCIR-601, pero con un caudal mucho menor, del orden de 4-6 Mb/s, para ser utilizado como soporte de la televisión digital. MPEG-3 pretendía cubrir la calidad de televisión de alta definición con caudales de Mb/s. Sin embargo se vió que con una modificación adecuada de los parámetros de MPEG-2 le permitía cumplir este requisito, por lo que el grupo de trabajo MPEG-3 se disolvió sin aprobar nunca un su estándar. MPEG-4 extiende la posibilidad de vídeo digital por abajo, a velocidades de hasta 64 Kb/s. Además desarrolla el concepto de objetos audiovisuales tanto naturales como sintéticos empleando como punto de partida para ello el trabajo desarrollado en VRML (Virtual Reality Markup Language) Los grupos de trabajo MPEG-5 y MPEG-6 no se crearon, con el único fin de mantener la irregularidad en la numeración de los estándares MPEG MPEG-7 permitirá la descripción de contenidos audiovisuales para facilitar su indexación, búsqueda, catalogación, etc. JIG ©

12 1.2.3. Sistema de FW con GW a Nivel Circuitos __________________________________________________
Gateway a Nivel de Circuitos: Puede ser un sistema stand-alone ó una función especializada realizada por un GW de nivel aplicación. No permite conexiones TCP end-to-end, sino que GW setea 2 conexiones TCP entre usuarios TCP externo e interno con él. GW hace conmutación de segmentos TCP de una conexión a otra sin examinar contenido. (GW Nivel Circuito) (Conexión Externa) (Host Externo) (Conexión Interna) (Host Interno) El grupo de trabajo MPEG es el encargado dentro de ISO de especificar y aprobar los estándares de audio y vídeo comprimido. MPEG-1 estaba dirigido fundamentalmente a permitir la reproducción de vídeo digital en un lector de CD-ROM de simple velocidad (1,4 Mb/s) con calidad de imagen comparable a la de un magnetoscopio VHS doméstico y de sonido comparable a un CD de audio. En estas condiciones un CD-ROM puede almacenar aproximadamente una hora de vídeo. MPEG-2 pretende ofrecer una calidad broadcast, comparable a CCIR-601, pero con un caudal mucho menor, del orden de 4-6 Mb/s, para ser utilizado como soporte de la televisión digital. MPEG-3 pretendía cubrir la calidad de televisión de alta definición con caudales de Mb/s. Sin embargo se vió que con una modificación adecuada de los parámetros de MPEG-2 le permitía cumplir este requisito, por lo que el grupo de trabajo MPEG-3 se disolvió sin aprobar nunca un su estándar. MPEG-4 extiende la posibilidad de vídeo digital por abajo, a velocidades de hasta 64 Kb/s. Además desarrolla el concepto de objetos audiovisuales tanto naturales como sintéticos empleando como punto de partida para ello el trabajo desarrollado en VRML (Virtual Reality Markup Language) Los grupos de trabajo MPEG-5 y MPEG-6 no se crearon, con el único fin de mantener la irregularidad en la numeración de los estándares MPEG MPEG-7 permitirá la descripción de contenidos audiovisuales para facilitar su indexación, búsqueda, catalogación, etc. JIG ©

13 1.2.3. Sistema de FW con GW a Nivel Circuitos __________________________________________________
La función de seguridad consiste en determinar qué conexiones serán permitidas. Usado típicamente en situaciones donde el administrador del sistema confía en los usuarios internos. Un ejemplo de implementación es el paquete SOCKS (v.5 en RFC 1928) capa entre niveles de Transporte y Aplicación No provee servicios de GW a capa de red, como el forwarding de mensajes ICMP. El grupo de trabajo MPEG es el encargado dentro de ISO de especificar y aprobar los estándares de audio y vídeo comprimido. MPEG-1 estaba dirigido fundamentalmente a permitir la reproducción de vídeo digital en un lector de CD-ROM de simple velocidad (1,4 Mb/s) con calidad de imagen comparable a la de un magnetoscopio VHS doméstico y de sonido comparable a un CD de audio. En estas condiciones un CD-ROM puede almacenar aproximadamente una hora de vídeo. MPEG-2 pretende ofrecer una calidad broadcast, comparable a CCIR-601, pero con un caudal mucho menor, del orden de 4-6 Mb/s, para ser utilizado como soporte de la televisión digital. MPEG-3 pretendía cubrir la calidad de televisión de alta definición con caudales de Mb/s. Sin embargo se vió que con una modificación adecuada de los parámetros de MPEG-2 le permitía cumplir este requisito, por lo que el grupo de trabajo MPEG-3 se disolvió sin aprobar nunca un su estándar. MPEG-4 extiende la posibilidad de vídeo digital por abajo, a velocidades de hasta 64 Kb/s. Además desarrolla el concepto de objetos audiovisuales tanto naturales como sintéticos empleando como punto de partida para ello el trabajo desarrollado en VRML (Virtual Reality Markup Language) Los grupos de trabajo MPEG-5 y MPEG-6 no se crearon, con el único fin de mantener la irregularidad en la numeración de los estándares MPEG MPEG-7 permitirá la descripción de contenidos audiovisuales para facilitar su indexación, búsqueda, catalogación, etc. JIG ©

14 1.2.4. Bastion Host __________________________________________________
Es un sistema identificado por el administrador del firewall como un punto crítico en la seguridad de la red. Host bastión sirve como una plataforma para un gateway a nivel de aplicación ó de circuito. Su plataforma de hardware corre versión segura de S.O.  Sistema Confiable. Administrador de red instala sólo servicios esenciales en él, como aplicaciones proxies como Telnet, DNS, FTP, SMTP y Autenticación usuarios. Cada proxy se configura para requerir autenticación adicional, antes de permitir a usuario acceder a servicios. C/u mantiene info auditoría por logging de todo el tráfico de c/conexión. Cada módulo proxy es un pequeño paquete SW diseñado para seguridad en red, e independiente de los otros proxies. Proxy gralmente no realiza accesos a disco, salvo leer configuración inicial, tal de dificultar instalación de troyanos ó sniffers. El grupo de trabajo MPEG es el encargado dentro de ISO de especificar y aprobar los estándares de audio y vídeo comprimido. MPEG-1 estaba dirigido fundamentalmente a permitir la reproducción de vídeo digital en un lector de CD-ROM de simple velocidad (1,4 Mb/s) con calidad de imagen comparable a la de un magnetoscopio VHS doméstico y de sonido comparable a un CD de audio. En estas condiciones un CD-ROM puede almacenar aproximadamente una hora de vídeo. MPEG-2 pretende ofrecer una calidad broadcast, comparable a CCIR-601, pero con un caudal mucho menor, del orden de 4-6 Mb/s, para ser utilizado como soporte de la televisión digital. MPEG-3 pretendía cubrir la calidad de televisión de alta definición con caudales de Mb/s. Sin embargo se vió que con una modificación adecuada de los parámetros de MPEG-2 le permitía cumplir este requisito, por lo que el grupo de trabajo MPEG-3 se disolvió sin aprobar nunca un su estándar. MPEG-4 extiende la posibilidad de vídeo digital por abajo, a velocidades de hasta 64 Kb/s. Además desarrolla el concepto de objetos audiovisuales tanto naturales como sintéticos empleando como punto de partida para ello el trabajo desarrollado en VRML (Virtual Reality Markup Language) Los grupos de trabajo MPEG-5 y MPEG-6 no se crearon, con el único fin de mantener la irregularidad en la numeración de los estándares MPEG MPEG-7 permitirá la descripción de contenidos audiovisuales para facilitar su indexación, búsqueda, catalogación, etc. JIG ©

15 1.3. Configuraciones de Firewalls ________________________________________________
Además del uso de configuraciones simples de un sistema único , como router con filtrado de paquetes ó gateway único, son posibles configuraciones más complejas, siendo las tres más comunes: Sistema FW con screened host (single-homed bastion host) (FW con host apantallado y conectado a una sola red) Sistema FW con screened host (dual-homed bastion host) (FW con host apantallado y conectado con 2 placas red) Sistema FW con screened subnet (con DMZ) (FW con subred apantallada ó De-Militarized Zone) JIG ©

16 1. 3. 1. Sistema FW con screened host
Sistema FW con screened host (single-homed bastion host) _____________________________________________ El firewall consiste de dos sistemas: Un router con filtrado de paquetes y un host bastión. Configuración para el router con filtrado paquetes: Router sólo permite pasar paquetes desde ó hacia el host bastión. El Host Bastión realiza funciones de proxy y autenticación. (Host Bastión) (Router Filtrado Paquetes) (Hosts Red Privada) (Server Información) En vídeo digital el formato no comprimido más utilizado es el CCIR-601 estandarizado por la ITU-R, que corresponde a calidad de estudio y puede funcionar con el sistema americano (NTSC) o el europeo (PAL) en formato 4:3 o 16:9. En CCIR-601 se digitaliza directamente cada una de las tres componentes habitualmente utilizadas en televisión analógica, la luminancia (Y) y las dos componentes de crominancia (Cr y Cb). La imagen PAL es de 720 x 576 pixels, con una frecuencia de 25 fotogramas por segundo. En luminancia se digitalizan todos los pixels, pero para la crominancia se representa únicamente la mitad en horizontal, dando una imagen de 360 x 576 pixels. Esta técnica, conocida como submuestreo 4:2.2, reduce a la mitad la información generada por la crominancia aprovechado el hecho psicológico de que el ojo humano es más sensible a la luminancia que a la crominancia. Empleando ocho bits por pixel la luminancia genera un caudal digital de 720 x 576 x 8 x 25 = 82,9 Mb/s y la crominancia uno de 3600 x 576 x (8+8) x 25 = 82,9 Mb/s, lo cual da un total de 165,9 Mb/s. Aunque podemos considerar el submuestreo como una forma de compresión normalmente se considera que el formato CCIR-601 corresponde a vídeo digital no comprimido. En Televisión de alta definición el formato equivalente a CCIR-601 llega a tener un caudal de 2 Gb/s A la vista de estos valores se comprende fácilmente la necesidad de efectuar compresión del vídeo cuando se almacena de forma digital o se transmite por redes telemáticas. JIG ©

17 1. 3. 1. Sistema FW con screened host
Sistema FW con screened host (single-homed bastion host) _____________________________________________ Mejor seguridad que configuraciones simples por dos motivos: Esta configuración implementa ambos filtrados, a nivel de paquetes y de aplicación, permitiendo flexibilidad en la definición de política de seguridad. Un intruso debería atravesar ambas barreras (dos sistemas separados) Esta configuración también permite la posibilidad de proveer acceso directo a Internet, con servidores de información pública como web servers. En vídeo digital el formato no comprimido más utilizado es el CCIR-601 estandarizado por la ITU-R, que corresponde a calidad de estudio y puede funcionar con el sistema americano (NTSC) o el europeo (PAL) en formato 4:3 o 16:9. En CCIR-601 se digitaliza directamente cada una de las tres componentes habitualmente utilizadas en televisión analógica, la luminancia (Y) y las dos componentes de crominancia (Cr y Cb). La imagen PAL es de 720 x 576 pixels, con una frecuencia de 25 fotogramas por segundo. En luminancia se digitalizan todos los pixels, pero para la crominancia se representa únicamente la mitad en horizontal, dando una imagen de 360 x 576 pixels. Esta técnica, conocida como submuestreo 4:2.2, reduce a la mitad la información generada por la crominancia aprovechado el hecho psicológico de que el ojo humano es más sensible a la luminancia que a la crominancia. Empleando ocho bits por pixel la luminancia genera un caudal digital de 720 x 576 x 8 x 25 = 82,9 Mb/s y la crominancia uno de 3600 x 576 x (8+8) x 25 = 82,9 Mb/s, lo cual da un total de 165,9 Mb/s. Aunque podemos considerar el submuestreo como una forma de compresión normalmente se considera que el formato CCIR-601 corresponde a vídeo digital no comprimido. En Televisión de alta definición el formato equivalente a CCIR-601 llega a tener un caudal de 2 Gb/s A la vista de estos valores se comprende fácilmente la necesidad de efectuar compresión del vídeo cuando se almacena de forma digital o se transmite por redes telemáticas. JIG ©

18 1. 3. 2. Sistema FW con screened host
Sistema FW con screened host (dual-homed bastion host) _____________________________________________ (Host Bastión) Con 2 placas de red, evita que si el router con filtrado de paquetes está comprometido, el tráfico pase directamente a la red interna. El tráfico entre Internet y los hosts de la red interna privada tiene que pasar através del host bastión. Mantiene las dos capas de seguridad, y pueden conectarse servers con el router, según la política de seguridad. (Router Filtrado Paquetes) (Server Información) (Hosts Red Privada) En vídeo digital el formato no comprimido más utilizado es el CCIR-601 estandarizado por la ITU-R, que corresponde a calidad de estudio y puede funcionar con el sistema americano (NTSC) o el europeo (PAL) en formato 4:3 o 16:9. En CCIR-601 se digitaliza directamente cada una de las tres componentes habitualmente utilizadas en televisión analógica, la luminancia (Y) y las dos componentes de crominancia (Cr y Cb). La imagen PAL es de 720 x 576 pixels, con una frecuencia de 25 fotogramas por segundo. En luminancia se digitalizan todos los pixels, pero para la crominancia se representa únicamente la mitad en horizontal, dando una imagen de 360 x 576 pixels. Esta técnica, conocida como submuestreo 4:2.2, reduce a la mitad la información generada por la crominancia aprovechado el hecho psicológico de que el ojo humano es más sensible a la luminancia que a la crominancia. Empleando ocho bits por pixel la luminancia genera un caudal digital de 720 x 576 x 8 x 25 = 82,9 Mb/s y la crominancia uno de 3600 x 576 x (8+8) x 25 = 82,9 Mb/s, lo cual da un total de 165,9 Mb/s. Aunque podemos considerar el submuestreo como una forma de compresión normalmente se considera que el formato CCIR-601 corresponde a vídeo digital no comprimido. En Televisión de alta definición el formato equivalente a CCIR-601 llega a tener un caudal de 2 Gb/s A la vista de estos valores se comprende fácilmente la necesidad de efectuar compresión del vídeo cuando se almacena de forma digital o se transmite por redes telemáticas. JIG ©

19 1.3.3. Sistema FW con Screened-Subnet (DMZ) _________________________________________________
(Host Bastión) Configuración más segura de las tres, con 2 Routers interno y externo con filtrado de paquetes. Crea una subred aislada, DMZ (De Militarized Zone) que puede consistir de un simple host bastión, ó de más servers públicos. Los routers sólo permiten tráfico hacia ó desde la subred DMZ. (Red Privada) (Modem) ---- D.M.Z.----- Para comprender el mecanismo de compresión de vídeo empleado por MPEG describiremos brevemente el caso de MPEG-1. El algoritmo básico es el mismo en MPEG-2 La imagen de partida está normalmente en el formato denominado SIF, que tiene 352 x 288 pixels. Se realiza submuestreo 4:1:1 , con lo que las componentes de crominancia tienen 176 x 144 pixels y la información a codificar se reduce significativamente. El primer fotograma a codificar se comprime aplicando un algoritmo similar al del formato de fotografía JPEG. Esto permite aprovechar la redundancia de la imagen en la compresión. También se aplican factores psicológicos para eliminar información que es difícilmente perceptible por el ojo humano (compresión con pérdidas). Así se construye lo que se denomina un fotograma I o Intra (de Intraframe). MPEG puede comprimir cada fotograma utilizando fotogramas I únicamente, pero esto no es muy eficiente ya que los fotogramas consecutivos son muy similares, es decir hay una redundancia temporal entre ellos. Para aprovechar esta redundancia MPEG intenta identificar los objetos en movimiento. Una vez detectados los fotogramas siguientes al fotograma I inicial se describen mediante un vector de movimiento respecto al fotograma anterior. La localización de objetos en movimiento se hace en base a macrobloques; un macrobloque está formado por un cuadrado de 16 x 16 pixels de luminancia y 8 x 8 pixels de crominancia. Asi se construyen los fotogramas P (Predicitvos) JIG ©

20 1.3.3. Sistema FW con Screened-Subnet (DMZ) _________________________________________________
Ventajas: Tres niveles de defensa ante intrusos. El Router Externo sólo declara hacia la Internet la existencia de la subred protegida La red interna es invisible para la Internet. El Router Interno sólo declara hacia la red interna la existencia de la subred protegida  Los sistemas de la red interna no pueden construir rutas directas hacia Internet.  Los routers sólo permiten tráfico a/desde la red DMZ. Zona DMZ: se tiene cierto control, deja que algunas aplicaciones puedan ser accedidas como servicios externos de servers Web ó DNS y GW de aplicación para clientes internos. Normalmente se implementa NAT (Network Address Translation), que oculta las direcciones reales y dificulta ó impide accesos. NAT útil si no se poseen suficientes dir IP válidas. Solamente se necesitan dir IP reales si queremos salir de nuestra red interna, para acceder a servers externos. Mapeo muchos-a-1 ó 1-a-1; Los proxies proveen muchos-a-1. Para comprender el mecanismo de compresión de vídeo empleado por MPEG describiremos brevemente el caso de MPEG-1. El algoritmo básico es el mismo en MPEG-2 La imagen de partida está normalmente en el formato denominado SIF, que tiene 352 x 288 pixels. Se realiza submuestreo 4:1:1 , con lo que las componentes de crominancia tienen 176 x 144 pixels y la información a codificar se reduce significativamente. El primer fotograma a codificar se comprime aplicando un algoritmo similar al del formato de fotografía JPEG. Esto permite aprovechar la redundancia de la imagen en la compresión. También se aplican factores psicológicos para eliminar información que es difícilmente perceptible por el ojo humano (compresión con pérdidas). Así se construye lo que se denomina un fotograma I o Intra (de Intraframe). MPEG puede comprimir cada fotograma utilizando fotogramas I únicamente, pero esto no es muy eficiente ya que los fotogramas consecutivos son muy similares, es decir hay una redundancia temporal entre ellos. Para aprovechar esta redundancia MPEG intenta identificar los objetos en movimiento. Una vez detectados los fotogramas siguientes al fotograma I inicial se describen mediante un vector de movimiento respecto al fotograma anterior. La localización de objetos en movimiento se hace en base a macrobloques; un macrobloque está formado por un cuadrado de 16 x 16 pixels de luminancia y 8 x 8 pixels de crominancia. Asi se construyen los fotogramas P (Predicitvos) JIG ©

21 2.1. Control de Acceso a Datos
2. Sistemas Confiables ________________________________________________ Una forma de mejorar la habilidad de un sistema de defensa contra intrusos y programas maliciosos, es implementar tecnología de Sistemas Confiables. 2.1. Control de Acceso a Datos A través de procedimientos de control de accesos de usuarios (log on), un usuario puede ser identificado por el sistema. Asociado a cada usuario puede existir un Perfil que especifica sus operaciones y accesos a archivos permitidos. El sistema operativo puede aplicar reglas basadas en el perfil de usuario. Los Modelos generales de control de Acceso pueden ser: Matriz de Accesos Lista de Control de Accesos Lista de Capacidades El audio de MPEG-1 es un buen ejemplo de compresión con pérdidas aprovechando factores psicoacústicos. También se aprovecha en ocasiones la redundancia de información entre ambos canales cuando se codifica un programa estéreo. El audio MPEG-1 ofrece varios algoritmos de complejidad y eficiencia crecientes. Cada algoritmo se incorpora en una ‘capa’ diferente. Las capas superiores (de mayor complejidad) son un ‘superset’ de las anteriores; por ejemplo un decodificador de MPEG-1 capa III es capaz de decodificar programas de capas I y II, pero no a la inversa. El algoritmo más eficiente es el que incorpora la capa III, que permite reproducir una calidad comparable a la de un CD de audio con tan sólo 64 Kb/s por canal. El MPEG-1 capa III corresponde al formato conocido popularmente como MP3, y es el que se utiliza en las emisiones de radio digital (DAB, Digital Audio Broadcast). JIG ©

22 2.1. Control de Acceso a Datos ________________________________________________
Matriz de Accesos Los Elementos básicos del modelo son: Sujeto (ó Subject): una entidad capaz acceder objetos. Concepto equivalente al de proceso. Objeto: algo al que su acceso se controla (Ejplo: archivos, programas y segmentos de memoria). Derechos de Acceso: el modo en que un objeto es accedido por un sujeto (Ejplo: read, write, execute). (Programa 1) (Segmento A) (Proceso 1) El audio de MPEG-1 es un buen ejemplo de compresión con pérdidas aprovechando factores psicoacústicos. También se aprovecha en ocasiones la redundancia de información entre ambos canales cuando se codifica un programa estéreo. El audio MPEG-1 ofrece varios algoritmos de complejidad y eficiencia crecientes. Cada algoritmo se incorpora en una ‘capa’ diferente. Las capas superiores (de mayor complejidad) son un ‘superset’ de las anteriores; por ejemplo un decodificador de MPEG-1 capa III es capaz de decodificar programas de capas I y II, pero no a la inversa. El algoritmo más eficiente es el que incorpora la capa III, que permite reproducir una calidad comparable a la de un CD de audio con tan sólo 64 Kb/s por canal. El MPEG-1 capa III corresponde al formato conocido popularmente como MP3, y es el que se utiliza en las emisiones de radio digital (DAB, Digital Audio Broadcast). JIG ©

23 2.1. Control de Acceso a Datos ________________________________________________
Un eje de la Matriz (x) consiste de los sujetos identificados que pueden intentar acceder a los datos. El otro eje (y) lista los objetos que pueden ser accedidos. Cada entrada en la matriz indica los derechos de acceso de cada sujeto para cada objeto. Lista de Control de Accesos: descomposición de la matriz por columnas. Lista los usuarios y sus derechos de accesos permitidos. La lista puede contener una entrada pública ó por default. Lista Ctrl Accesos Programa1 Proceso1 (Read, Execute) El audio de MPEG-1 es un buen ejemplo de compresión con pérdidas aprovechando factores psicoacústicos. También se aprovecha en ocasiones la redundancia de información entre ambos canales cuando se codifica un programa estéreo. El audio MPEG-1 ofrece varios algoritmos de complejidad y eficiencia crecientes. Cada algoritmo se incorpora en una ‘capa’ diferente. Las capas superiores (de mayor complejidad) son un ‘superset’ de las anteriores; por ejemplo un decodificador de MPEG-1 capa III es capaz de decodificar programas de capas I y II, pero no a la inversa. El algoritmo más eficiente es el que incorpora la capa III, que permite reproducir una calidad comparable a la de un CD de audio con tan sólo 64 Kb/s por canal. El MPEG-1 capa III corresponde al formato conocido popularmente como MP3, y es el que se utiliza en las emisiones de radio digital (DAB, Digital Audio Broadcast). JIG ©

24 2.1. Control de Acceso a Datos ________________________________________________
Lista de Capacidades: descomposición de la matriz por filas. Un ticket de capacidad especifica objetos autorizados y operaciones para un usuario. Cada usuario tiene un número de tickets. Lista Capacidades p´Proceso1 Programa1 (Read, Execute) SegmentoA (Read, Write) El vídeo MPEG-2 se creó como una extensión compatible de MPEG-1 para ser utilizada en la televisión digital. El objetivo inicial era dar una calidad comparable a CCIR-601, pero más tarde se vio que con una parametrización adecuada era capaz de dar calidades mucho mayores, del nivel requerido para la televisión de alta definición (HDTV). A diferencia de su predecesor MPEG-2 nació con la vocación de ser utilizado en redes de difusión y de telecomunicaciones, no para el almacenamiento (aunque también se utiliza para los discos DVD). En MPEG-2 se prevé un estándar para servicios de vídeo bajo demanda, en la parte denominada DSM-CC (Dgital Storage Media Communications and Control). MPEG-2 define cuatro posibles niveles de resolución que corresponden con niveles crecientes de calidad, desde el bajo (equivalente a MPEG-1), pasando por el principal (que corresponde a CCIR 601) hasta llegar al alto que equivale a HDTV en formato 4:3 o 16:9. En cuanto a algoritmos de compresión de vídeo, MPEG-2 se basa en los mismos principios que MPEG-1, haciendo uso de fotogramas I, P y B. JIG ©

25 2.2. El concepto de Sistemas Confiables ________________________________________________
Sistemas Confiables (Trusted): Protección de datos y recursos en base a niveles de seguridad, como en lo militar, donde la información se categoriza como U (unclassified), C (confidencial), S (secret) y TS (top secret). Los usuarios pueden obtener permisos para acceder a ciertas categorías de datos. Seguridad Multinivel: definición de múltiples categorías ó niveles de datos. Un sistema de seguridad multinivel debe aplicar las siguientes reglas: No Read Up: un sujeto sólo puede leer un objeto de nivel de seguridad igual ó menor (Simple Security Property) No Write Down: un sujeto sólo puede escribir en un objeto de nivel de seguridad igual ó mayor (*.Property) El vídeo MPEG-2 se creó como una extensión compatible de MPEG-1 para ser utilizada en la televisión digital. El objetivo inicial era dar una calidad comparable a CCIR-601, pero más tarde se vio que con una parametrización adecuada era capaz de dar calidades mucho mayores, del nivel requerido para la televisión de alta definición (HDTV). A diferencia de su predecesor MPEG-2 nació con la vocación de ser utilizado en redes de difusión y de telecomunicaciones, no para el almacenamiento (aunque también se utiliza para los discos DVD). En MPEG-2 se prevé un estándar para servicios de vídeo bajo demanda, en la parte denominada DSM-CC (Dgital Storage Media Communications and Control). MPEG-2 define cuatro posibles niveles de resolución que corresponden con niveles crecientes de calidad, desde el bajo (equivalente a MPEG-1), pasando por el principal (que corresponde a CCIR 601) hasta llegar al alto que equivale a HDTV en formato 4:3 o 16:9. En cuanto a algoritmos de compresión de vídeo, MPEG-2 se basa en los mismos principios que MPEG-1, haciendo uso de fotogramas I, P y B. JIG ©

26 2.2. El concepto de Sistemas Confiables ________________________________________________
Concepto de Monitor de Referencia: aproximación de seguridad multinivel para un sistema de procesamiento de datos. Arch.AUDITOR MONITOR REFERENCIA SUJETOS OBJETOS El vídeo MPEG-2 se creó como una extensión compatible de MPEG-1 para ser utilizada en la televisión digital. El objetivo inicial era dar una calidad comparable a CCIR-601, pero más tarde se vio que con una parametrización adecuada era capaz de dar calidades mucho mayores, del nivel requerido para la televisión de alta definición (HDTV). A diferencia de su predecesor MPEG-2 nació con la vocación de ser utilizado en redes de difusión y de telecomunicaciones, no para el almacenamiento (aunque también se utiliza para los discos DVD). En MPEG-2 se prevé un estándar para servicios de vídeo bajo demanda, en la parte denominada DSM-CC (Dgital Storage Media Communications and Control). MPEG-2 define cuatro posibles niveles de resolución que corresponden con niveles crecientes de calidad, desde el bajo (equivalente a MPEG-1), pasando por el principal (que corresponde a CCIR 601) hasta llegar al alto que equivale a HDTV en formato 4:3 o 16:9. En cuanto a algoritmos de compresión de vídeo, MPEG-2 se basa en los mismos principios que MPEG-1, haciendo uso de fotogramas I, P y B. DB Kernel Seguridad JIG ©

27 2.2. El concepto de Sistemas Confiables ________________________________________________
Monitor de Referencia: Elemento de control en el hardware y sistema operativo de una computadora que regula el acceso de sujetos a objetos en base a parámetros de seguridad. El Monitor tiene acceso a un archivo (Security Kernel Database) Aplica las reglas de seguridad (no read up, no write down). Propiedades del Monitor: Mediación Completa: reglas seguridad se aplican en todo acceso. Aislación: el monitor de referencia y la DB están protegidos de modificaciones no autorizadas. Correctitud: la exactitud del monitor de referencia debe ser comprobable (matemáticamente). Un sistema que pueda proveer tales verificaciones (ó propiedades), se puede referir como un Sistema Confiable. El vídeo MPEG-2 se creó como una extensión compatible de MPEG-1 para ser utilizada en la televisión digital. El objetivo inicial era dar una calidad comparable a CCIR-601, pero más tarde se vio que con una parametrización adecuada era capaz de dar calidades mucho mayores, del nivel requerido para la televisión de alta definición (HDTV). A diferencia de su predecesor MPEG-2 nació con la vocación de ser utilizado en redes de difusión y de telecomunicaciones, no para el almacenamiento (aunque también se utiliza para los discos DVD). En MPEG-2 se prevé un estándar para servicios de vídeo bajo demanda, en la parte denominada DSM-CC (Dgital Storage Media Communications and Control). MPEG-2 define cuatro posibles niveles de resolución que corresponden con niveles crecientes de calidad, desde el bajo (equivalente a MPEG-1), pasando por el principal (que corresponde a CCIR 601) hasta llegar al alto que equivale a HDTV en formato 4:3 o 16:9. En cuanto a algoritmos de compresión de vídeo, MPEG-2 se basa en los mismos principios que MPEG-1, haciendo uso de fotogramas I, P y B. JIG ©

28 2.3. Defensa de Troyanos ________________________________________________
Troyanos: programa malicioso que aparentando hacer algo normal, hará algo inesperado, a través de trapdoor ó un ataque (acceder a una cuenta ó ejecutar comandos con privilegios de otro usuario). Secuencia a y b muestra ataque de troyano de usuario A, que consigue acceso legítimo al sistema e instala un troyano y un arch.privado a ser usado en el ataque como un “back pocket”. Arch Data Arch Data Programa Programa El vídeo MPEG-2 se creó como una extensión compatible de MPEG-1 para ser utilizada en la televisión digital. El objetivo inicial era dar una calidad comparable a CCIR-601, pero más tarde se vio que con una parametrización adecuada era capaz de dar calidades mucho mayores, del nivel requerido para la televisión de alta definición (HDTV). A diferencia de su predecesor MPEG-2 nació con la vocación de ser utilizado en redes de difusión y de telecomunicaciones, no para el almacenamiento (aunque también se utiliza para los discos DVD). En MPEG-2 se prevé un estándar para servicios de vídeo bajo demanda, en la parte denominada DSM-CC (Dgital Storage Media Communications and Control). MPEG-2 define cuatro posibles niveles de resolución que corresponden con niveles crecientes de calidad, desde el bajo (equivalente a MPEG-1), pasando por el principal (que corresponde a CCIR 601) hasta llegar al alto que equivale a HDTV en formato 4:3 o 16:9. En cuanto a algoritmos de compresión de vídeo, MPEG-2 se basa en los mismos principios que MPEG-1, haciendo uso de fotogramas I, P y B. Programa Arch Back Pocket Programa Arch Back Pocket JIG ©

29 2.3. Defensa de Troyanos ________________________________________________
Sistemas Operativos confiables y seguros, constituyen un modo de defensa contra ataques de troyanos (Trojan Horse Attacks). Secuencias c y d con S.O.Seguro, donde Monitor no permite a B escribir (no W down) el string en un arch público (back pocket). Si B tiene nivel seguridad sensitivo, y A nivel público, cuando B invoca al troyano, este programa adquiere nivel seg de B. Programa Arch Data Arch Data Monitor Referencia Programa Monitor Referencia El vídeo MPEG-2 se creó como una extensión compatible de MPEG-1 para ser utilizada en la televisión digital. El objetivo inicial era dar una calidad comparable a CCIR-601, pero más tarde se vio que con una parametrización adecuada era capaz de dar calidades mucho mayores, del nivel requerido para la televisión de alta definición (HDTV). A diferencia de su predecesor MPEG-2 nació con la vocación de ser utilizado en redes de difusión y de telecomunicaciones, no para el almacenamiento (aunque también se utiliza para los discos DVD). En MPEG-2 se prevé un estándar para servicios de vídeo bajo demanda, en la parte denominada DSM-CC (Dgital Storage Media Communications and Control). MPEG-2 define cuatro posibles niveles de resolución que corresponden con niveles crecientes de calidad, desde el bajo (equivalente a MPEG-1), pasando por el principal (que corresponde a CCIR 601) hasta llegar al alto que equivale a HDTV en formato 4:3 o 16:9. En cuanto a algoritmos de compresión de vídeo, MPEG-2 se basa en los mismos principios que MPEG-1, haciendo uso de fotogramas I, P y B. Arch Back Pocket Programa Arch Back Pocket Programa JIG ©

30 Bibliografía Fuentes:
Network Security Essentials- W. STALLINGS- Prentice Hall- Cap.10. Security Strategy- Christopher BENSON. Building Internet Firewalls- CHAPMAN & ZWICKY- O´Reilly. Firewalls Fend off Invasions from the Net- LODIN & SCHUBA- IEEE Spectrum, Febraury 1998. JIG ©

Descargar ppt "SEGURIDAD EN REDES _________________________________________________"

Presentaciones similares

¿PARA QUE ESTAMOS AQUÍ? LOS OBJETIVOS DE LA ENCARNACIÓN.

¿PARA QUE ESTAMOS AQUÍ? LOS OBJETIVOS DE LA ENCARNACIÓN.
SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR

SIES – SISTEMA INTEGRADO DE EDUCACIÓN SUPERIOR
el 1, el 4 y el 9 tres cuadrados perfectos autosuficientes

el 1, el 4 y el 9 tres cuadrados perfectos autosuficientes
Juan F. Velazquez Mayra E. Beltran Jaime Lopez

Juan F. Velazquez Mayra E. Beltran Jaime Lopez
111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID.

111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID.
© 2004, Cisco Systems, Inc. All rights reserved.

© 2004, Cisco Systems, Inc. All rights reserved.
Paso 1 Portada YO SOY EUROPEO Comisión Europea.

Paso 1 Portada YO SOY EUROPEO Comisión Europea.
Metodología de programación paralela

Metodología de programación paralela
1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.

1 INFORME RESUMEN SOBRE EL NIVEL DE UTILIZACION DE LAS TIC EN LAS EMPRESAS GALLEGAS (MICROEMPRESAS, resultados provisionales) 29 de julio de 2004.
1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO 2005. Resumen. 24 de Junio de 2005.

1 LA UTILIZACION DE LAS TIC EN LAS PYMES GALLEGAS AÑO Resumen. 24 de Junio de 2005.
Subredes clase B Red 132.18.0.0 50 subredes y 1000 host c/u 1.

Subredes clase B Red subredes y 1000 host c/u 1.
111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID.

111 © 2002, Cisco Systems, Inc. All rights reserved. Presentation_ID.
Subnetting Class B Addresses and Troubleshooting IP Addressing COMP 417.

Subnetting Class B Addresses and Troubleshooting IP Addressing COMP 417.
Prof. Carlos Rodríguez Sánchez Texto: Networking A Beginners Guide Bruce Hallberg Introducción a la Seguridad en las Redes.

Prof. Carlos Rodríguez Sánchez Texto: Networking A Beginners Guide Bruce Hallberg Introducción a la Seguridad en las Redes.
PAT & NAT COMP 423. Network Address Translation/Port Address Translation Métodos de direccionamiento que hacen que las direcciones internas de un network.

PAT & NAT COMP 423. Network Address Translation/Port Address Translation Métodos de direccionamiento que hacen que las direcciones internas de un network.
© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.

© 2007 Cisco Systems, Inc. All rights reserved. Traducido en apoyo a la capacitación de Instructores de la Red Proydesa Comunicación por la red Fundamentos.
PIPELINING - INTRODUCCION

PIPELINING - INTRODUCCION
ARQUITECTURA DE COMPUTADORES - PIPELINING

ARQUITECTURA DE COMPUTADORES - PIPELINING
A Study of Internet Instant Messaging and Chat Protocols

A Study of Internet Instant Messaging and Chat Protocols
Principios fundamentales de Internet Alejandro Pisanty Facultad de Química, UNAM ISOC México.

Principios fundamentales de Internet Alejandro Pisanty Facultad de Química, UNAM ISOC México.

Presentaciones similares

Anuncios Google